PowerSchool ha advertido que los atacantes responsables de su violación de datos en diciembre de 2024 están ahora extorsionando a las escuelas de forma individual, amenazando con liberar los datos de estudiantes y profesores robados si no se paga un rescate.
El Ciberataque de Diciembre de 2024
El ciberataque original se detectó el 28 de diciembre de 2024, aunque PowerSchool reveló más tarde que la intrusión había comenzado meses antes, en agosto y septiembre de 2024.
Los atacantes utilizaron credenciales comprometidas para acceder al portal de soporte de clientes PowerSource , a través de una herramienta de mantenimiento remoto, descargaron las bases de datos de PowerSchool de varios distritos escolares.
Estas bases de datos contenían información sensible, como nombres completos, direcciones físicas, números de teléfono, contraseñas, información de padres, números de seguro social, datos médicos y calificaciones de estudiantes y personal.
La violación de datos afectó a 62,4 millones de estudiantes y 9,5 millones de docentes de 6,505 distritos escolares en los Estados Unidos, Canadá y otros países.
Extorsión Individual a Escuelas
Desde el ataque, PowerSchool ha confirmado que los atacantes han comenzado a extorsionar individualmente a distritos escolares.
Algunos de los distritos afectados incluyen aquellos en Carolina del Norte y la Junta Escolar del Distrito de Toronto (TDSB), la mayor de Canadá.
TDSB fue notificado de que los datos no habían sido destruidos, como lo habían prometido los atacantes, lo que llevó a una comunicación directa con las escuelas, exigiendo un rescate por la información robada.
PowerSchool ha confirmado que los atacantes están utilizando los mismos datos robados en el ataque de diciembre para extorsionar a las escuelas, amenazando con hacer públicos los datos si no se paga el rescate.
Decisión Controvertida de Pagar el Rescate
En el momento del ataque original, PowerSchool tomó la decisión difícil de pagar un rescate para evitar que los datos fueran divulgados públicamente.
Aunque parece que los atacantes no cumplieron su promesa, lo que genera dudas sobre la eficacia de pagar rescates.
La empresa explicó que, aunque la decisión de pagar el rescate fue pensada para proteger a sus clientes, no se puede verificar si los datos realmente fueron eliminados.
Esta situación es común en los casos de extorsión y ransomware, donde los atacantes a menudo no cumplen con sus promesas.
Consecuencias y Recomendaciones de Seguridad
PowerSchool ha recomendado a estudiantes y facultades que aprovechen dos años gratuitos de monitoreo de crédito y protección de identidad para protegerse contra fraudes y robos de identidad derivados de la violación de datos.
A pesar de haber pagado el rescate, PowerSchool sigue siendo víctima de los mismos actores maliciosos, lo que resalta los riesgos inherentes de pagar rescates a los ciberdelincuentes.
Los expertos en seguridad cibernética advierten que, en muchos casos, pagar un rescate no garantiza que los atacantes cumplan con su promesa de eliminar los datos robados.
Conclusión
El ataque cibernético a PowerSchool ha expuesto la vulnerabilidad de las instituciones educativas a las amenazas de ransomware y extorsión.
Aunque PowerSchool tomó medidas para proteger la información de sus clientes pagando el rescate, los ataques posteriores y la reextorsión resaltan la necesidad de adoptar estrategias de defensa cibernética más robustas y no ceder ante los atacantes.
Las instituciones educativas deben seguir prácticas de seguridad más rigurosas, como la autenticación multifactor (MFA), el monitoreo constante de redes y la educación continua a su personal para prevenir futuros ataques de ransomware.